-
- いいね!149
7payでの不正チャージ・不正使用報告が続出
【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める
【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf
224934 pv
2255
156 users
485
シェアバー
@Sharebars
しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ クレジットカード登録したら本当にヤバイよ! 7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg
2019-07-03 16:48:04
拡大
Yahoo!ニュース
@YahooNewsTopics
【7pay不正アクセス 被害相次ぐ】 yahoo.jp/yGF-o1 セブン・ペイは、モバイル決済サービス「7pay」の一部アカウントが、不正アクセスの被害を受けたと明らかにした。不正利用を防ぐため、ID、パスワード、認証パスワードの管理に注意を呼び掛けている。
2019-07-03 16:09:16カードでのチャージを停止へ
生年月日と登録したメールアドレスが分かれば、パスワードリセットメールを任意のメールアドレスに送付できる
のらねこ!@冬コミ2日目31日/東ト06a/ThinkPad本
@ragemax
パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。
2019-07-03 22:09:50
のらねこ!@冬コミ2日目31日/東ト06a/ThinkPad本
@ragemax
と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT
2019-07-03 22:09:51
拡大
shao / 澤田 翔 - デジタルネイティブ企業のコーポレートIT支援
@shao1555
#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。 ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K
2019-07-03 21:31:57
shao as a service
@shao1555
#7pay の一件は「既に利用しているユーザが他人に不正にチャージされて買い物された」という事象なのに、運営はチャージだけ止めて買い物は引き続き可能にしてる。買い物できるということはセッションを奪われたという話なので、買い物含めて全部止めないと被害が拡大するのです。
2019-07-03 21:05:10
拡大
植草信男🎄Lv46
@weboo
@shao1555 自分も試してみましたが、パスワードリセットメールは送られてきませんでした。応急処置として、送信を止めてるかもしれませんね。
2019-07-03 22:46:33
fakecomponents💉💉
@fakecomponents
@shao1555 自分が22時頃に試したときには任意のメールアドレスでさくっとパスワードリセットできました。使ったのはyahooメールです。
2019-07-03 22:51:56
ぶっく@年中有給
@iedred7584
7pay、パスワードリセット用の漏らしてはいけないリンクの送信先メールアドレスをパスワードリセットリクエスト画面上で指定可能で誕生日とか登録アドレスが合っていれば好きなアドレスで受信できてパスワード変更可能とかそのままサービス終了したほうが良いレベルなのでは
2019-07-03 23:33:59登録時に生年月日を入力しないと、自動的に2019/01/01になる(iOSのみ?)
Hiromitsu Takagi
@HiromitsuTakagi
7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g
2019-07-04 06:51:40
拡大
拡大
拡大
拡大
Hiromitsu Takagi
@HiromitsuTakagi
この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5
2019-07-04 06:54:02
拡大
拡大
拡大
拡大
J416@C99A-31日東ニ28a
@j416dy
@HiromitsuTakagi 現時点で都道府県、生年月日、性別 Android版は必須 iOS版は任意ですね pic.twitter.com/SKCY5WHS6M
2019-07-04 07:08:36
拡大
生年月日を登録しないとパスワードリセットできないはずなのにできてしまう
Hiromitsu Takagi
@HiromitsuTakagi
うわあアア…… pic.twitter.com/e2DTyVR1Qy
2019-07-04 06:56:53
拡大
拡大
拡大
拡大
48時間
@48h_fight
@HiromitsuTakagi 生年月日登録してない人はパスワード再発行できないはずなのに出来ちゃうんですね😢 20190101 is magic number✨ pic.twitter.com/27vUfBrXue
2019-07-04 07:03:05
拡大
誕生日未登録の人は自動的に2019/01/01になるので、その人のログインIDのメールアドレスさえわかれば、任意のメールアドレスにパスワードリセットメールを送ることができる
暇な女子高専生@駆け出しエンジニア
@miettal
7pay ・パスワードリセットの送り先URLに任意のメールアドレスが使用可能なため、ID(メールアドレス)と誕生日が分かれば第三者がログインできてしまう ・誕生日を登録していないとシステム上2019年1月1日生まれとして処理され、IDが分かれば第三者がログインできてしまう
2019-07-04 08:37:50
ぬるてふ@EFFYサイクルジャージ計画
@Nullpo_default
7Payの不正利用で、情報を漁るとこんな感じになる。 7Pay不正利用は何が原因だろうか? ↓ アプリログインがSMS認証等の多要素認証なし ↓ パスワード使い回し等で流失データか? ↓ Omni7パスワードリセットの仕組みがかなりアレということが分かる。
2019-07-04 01:19:35